Um novo vazamento de dados foi descoberto e pode ter exposto dados de mais de 223 milhões de brasileiros. O banco de dados está à venda num fórum cibercriminoso e revela dados como CPF, número do celular, gênero, email, data de nascimento, CEP.
Os dados estão sendo vendidos por 0.3 BTC, algo próximo de 100 mil reais e são anunciados através de uma lista que exemplifica a pasta. Além dessa lista, o anunciante disponibilizou uma amostra de 10 milhões de registros.
A DefCon Lab, empresa de pesquisas sobre vulnerabilidades, ameaças cibernéticas e riscos cibernéticos, disse que os dados disponibilizados foram verificados em fontes abertas por amostragem e parecem ser verdadeiros.
De acordo com a empresa, os dados podem ter sido obtidos numa vulnerabilidade nos bancos de dados do Poupatempo, projeto do governo de São Paulo para emissão de documentos, mas que não há indicação clara das origens das informações, além da alegação do vendedor. A DefCon Lab também explica que o anunciante alega ter conseguido acesso físico aos dados, por isso teria um volume tão grande de informações.
A Exame entrou em contato com a Prodesp, empresa estatal responsável pelos sistemas do Poupatempo, que negou qualquer vazamento de dados que teria sido originado de terminais do programa Poupatempo. A empresa explicou que realizou uma análise do material que está sendo ofertado à venda na deep web e constatou que as informações ali presentes não foram coletadas dos sistemas do Poupatempo – e que não sabe informar se os dados são ou não verdadeiros. Disse ainda que adota controles rígidos de acesso aos sistemas de dados, que é monitorado 24 horas por dia: “Em mais de cinco décadas, e de inúmeras tentativas diárias, nunca houve vazamento de dados na Prodesp”.
Vale ressaltar que empresas e instituições, públicas ou privadas devem informar caso tenham tido seus sistemas comprometidos, de acordo com a Lei Geral de Proteção de Dados em vigor.
No início do ano já haviam sido reportados vazamentos recordes no Brasil, e apesar de não termos muito o que fazer a respeito, as recomendações de segurança e alerta são as mesmas: ficar atento a tentativas de fraudes com suas informações. Não confiar em e-mails ou contatos inesperados. Mesmo que uma mensagem venha com seu nome, CPF ou outros dados pessoais, não significa que ela é legítima. Caso tenha dúvida sobre a legitimidade de algum contato, ligue para o serviço de atendimento oficial da instituição em questão.